Abgesicherter WinXP-Client im Firmennetzwerk

Magnum Joined: 14 Jun 2004 Posts: 43 Location: /dev/null

Mahlzeit,

das folgende ist bestimmt nichts brandneues, aber ich gehe davon aus, daß der ein oder andere Boardie damit auch schon einschlägige Erfahrungen gemacht hat... Wink

Die Rede ist von einem abgesicherten Windows XP-Client in einer AD-Umgebung. Abgesichert heißt in diesem Zusammenhang:

- der angemeldete User hat keine lokalen Adminrechte

- Software wird ausschließlich per NetInstall installiert

- der User soll so wenig wie möglich an seiner Kiste verbiegen können

Hat jemand vielleicht Erfahrung mit einem solchen Projekt? Ich denke, wir werden nicht die einzigen sein, die so etwas haben wollen. Insbesondere bei der Softwareinstallation gehen wir davon aus, daß so manche Applikation nicht funktionieren möchte, wenn sie nicht in einem lokalen Admin-Kontext läuft...

Die Berichte in der c´t zu diesem Thema sind mir übrigens hinlänglich bekannt, aber wenn jemand noch weitere Erfahrungen beisteuern kann: Ich habe für fast alles ein offenes Ohr Mr. Green

Z wrote:

Die Rede ist von einem abgesicherten Windows XP-Client in einer AD-Umgebung. Abgesichert heißt in diesem Zusammenhang:

- der angemeldete User hat keine lokalen Adminrechte

- Software wird ausschließlich per NetInstall installiert

- der User soll so wenig wie möglich an seiner Kiste verbiegen können

Hat jemand vielleicht Erfahrung mit einem solchen Projekt? Ich denke, wir werden nicht die einzigen sein, die so etwas haben wollen. Insbesondere bei der Softwareinstallation gehen wir davon aus, daß so manche Applikation nicht funktionieren möchte, wenn sie nicht in einem lokalen Admin-Kontext läuft...

Ich betreibe hier mit CCM PC-Pools für eine FH. Damit ich die Dinger nicht täglich neu machen muss, haben wir das so eingerichtet das kein Student lokale Adminrechte hat. Das funktioniert mit Standardsoftware in den Pools ganz gut. Wir haben allerdings keine besondere Software wie SAP oder ähnliches im Einsatz. Hauptsächlich wird Office, IE und Adobe benutzt.

Gerade sind wir dabei auch unsere Arbeitsplätze in der Verwaltung auf einen aktuellen Stand zu bringen. Das ist wesentlich aufwendiger. So wie es bis jetzt aussieht wird man nicht drumrum kommen den Usern Hauptbenutzer-Rechte zu geben.

Ich bin jedoch an weiteren Erfahrungen zu diesem Thema interessiert. Ich vertrete den Standpunkt je weniger ein User machen kann je einfacher ist für mich die Betreuung und Pflege der Systeme. Manche meiner Kollegen sind da anderer Meinung.

Gruß
Paul

Imperial Joined: 12 Jul 2004 Posts: 11

Hallo,

Aus meiner Erfahrung ist, ist es (gerade bei älteren Programen) unter Windows XP oft notwendig, für einzelne Bereiche der Systemregistrierung Schreibrechte zu erteilen.

Oftmals ist es auch hilfreich, die Anwendung nach der Installation einmal mit Admin-Rechten zu starten, damit diverse Einträge in der Registrierung erstellt werden können.

Manche Programme benötigen auch Schreibrechte im Programmverzeichnis bzw. einzelne Verzeichnisse oder unterhalb des Windows-Verzeichnis.

Für das Festlegen der Berechtigungen im Filesystem und der Registry verwenden wir meist das Tool SetACL (
http://setacl.sourceforge.net/)

Joe

Melchior Joined: 13 Jun 2004 Posts: 28

Z wrote:

Mahlzeit,

das folgende ist bestimmt nichts brandneues, aber ich gehe davon aus, daß der ein oder andere Boardie damit auch schon einschlägige Erfahrungen gemacht hat... Wink

Die Rede ist von einem abgesicherten Windows XP-Client in einer AD-Umgebung. Abgesichert heißt in diesem Zusammenhang:

- der angemeldete User hat keine lokalen Adminrechte

- Software wird ausschließlich per NetInstall installiert

- der User soll so wenig wie möglich an seiner Kiste verbiegen können

Ich habe das -auch mit NetInstall- bei einem Kunden gemacht. Der Scriptieraufwand steigt natürlich, weil man, wie Du ganz richtig vermutest, nahezu jeder Software mit Regmon/Filemon hinterherputzen muß, weil immer noch eigene INI-Dateien unter %ProgramFilesDir% geschrieben werden etc etc...

Map

map wrote:

Ich habe das -auch mit NetInstall- bei einem Kunden gemacht. Der Scriptieraufwand steigt natürlich, weil man, wie Du ganz richtig vermutest, nahezu jeder Software mit Regmon/Filemon hinterherputzen muß, weil immer noch eigene INI-Dateien unter %ProgramFilesDir% geschrieben werden etc etc...

wer ganz "cool" ist, der benutzt das setacl-tool innerhalb einer custom action im msi paket, falls der user kein lokaler admin ist. Wink

Magnum Joined: 14 Jun 2004 Posts: 43 Location: /dev/null

@All:

Besten Dank erst einmal für eure ganzen Hinweise. Ist auf jeden Fall schon einmal gut zu wissen, daß man mit solchen Vorhaben nicht allein auf weiter Flur steht Wink

Magnum Joined: 14 Jun 2004 Posts: 43 Location: /dev/null

paul79 wrote:

Gerade sind wir dabei auch unsere Arbeitsplätze in der Verwaltung auf einen aktuellen Stand zu bringen. Das ist wesentlich aufwendiger. So wie es bis jetzt aussieht wird man nicht drumrum kommen den Usern Hauptbenutzer-Rechte zu geben.

Die Sache mit den Hauptbenutzer-Rechten interessiert mich: Gibt es spezielle Anwendungen, die mit normalen User-Rechten nicht funktionieren oder was für Gründe sprechen sonst dafür, den Usern wieder mehr Rechte zu geben?

Quote:

Ich bin jedoch an weiteren Erfahrungen zu diesem Thema interessiert. Ich vertrete den Standpunkt je weniger ein User machen kann je einfacher ist für mich die Betreuung und Pflege der Systeme. Manche meiner Kollegen sind da anderer Meinung.

Das Thema abgesicherter Client wurde bei uns in der Firma schon einmal vor ca. 2 Jahren aufgegriffen, und nach ersten Versuchen haben die Kollegen damals entmutigt aufgegeben. Wir machen jetzt allerdings noch einmal einen neuen Versuch und hoffen, daß es diesmal besser klappt... Twisted Evil

BTW: Je weniger Rechte ein normaler User auf seinem Client hat, desto besser. So sehe ich das jedenfalls, aber diese Einschätzung wird selbstverständlich nicht von allen Kollegen geteilt.

Melchior Joined: 13 Jun 2004 Posts: 119 Location: München

Hi,

also sämtlich Kunden von mir, die XP Clients einsetzen, haben abgesicherte Anwender.

Grund für Hauptbenutzer:
Ein Grund dafür kann sein, dass man dann eben nicht für ältere Programme unbedingt die einzelnen Programmverzeichnisse, INI-Files und/oder Registry Bereiche extra berechtigen muss. Allerdings dürfen dann die Benutzer auch Software installieren. Deswegen ist davon abzuraten, da es im Endeffekt wieder mehr administrative Aufwände verursacht.

Grund für lokale Admin Rechte:
Anwender muss ständig Software installieren (z.B. Aussendienstler) die auch Hardwaretreiber mit sich bringt und kann dafür nicht ans lokale Netz gehen.
Auch hatte ich schon Software die entsprechende Hardwareports beim starten anspricht. Dies ist teilweise auch nur mit Adminrechten möglich.

Aber wie gesagt. Der normale Anwender der Office, IE, SAP etc. benutzt braucht keine weiteren Rechte!

Gruß
Stefan

Magnum Joined: 14 Jun 2004 Posts: 43 Location: /dev/null

Das einrichten eines Druckers ohne Adminrechte scheint ja ein echtes Problem zu sein Wink

Ich habe gestern sämtliche Hinweise ausprobiert, die mir Google geliefert hat, aber es ist mir nicht gelungen, als ordinärer User (ohne Hilfe von NetInstall) einen billigen Druckertreiber zu installieren.

Frage deshalb: Hat jemand Erfahrung damit? Was ist zu tun, um als billiger User einen Druckertreiber bzw. einen lokalen Drucker installieren zu können?

Magnum Joined: 14 Jun 2004 Posts: 43 Location: /dev/null

Hat denn tatsächlich noch keiner einen Drucker ohne Adminrechte unter Windows XP installiert? Das kann ich kaum glauben... Rolling Eyes